2013.02.21 13:44
 
 

사람들 많은 곳에서 악성코드분석 관련하여 발표할 일이 있어서.. 주섬주섬 이야기를 했는데..

질문이 하나 들어왔는데..

앞뒤 사정 다 짜르고 질문만 이야기하면..


해당 악성코드에서 Syn Flooding 이 안되는 이유가 뭐냐고 물어봤었다.


그림 출처 : http://en.wikipedia.org/wiki/SYN_flood



Syn Flooding 이 안되는 이유를.. 코드상의 문제라고 말했었다.

(사실이다.. 코드 구현이 잘못되어있었다. ㅠㅠ)


하지만.. 질문을 했던 분은.. 모 기업 보안팀장이셔서.. 아마 지금 내가 쓰고자 하는 답을 원하고 질문을 하시지 않았나 싶다.

물론.. 알고 있는 부분이였기 때문에 그것도 그 자리에서 답변을 드릴까하다가..

난.. 정답만 이야기하는 편이다보니..(?) 코드상의 이유만 답변을 하고 돌아왔다..

그랬더니 은근히 느껴지는 이 찝찝함........................


그래서.. 결국 포스팅을 결심!!

하지만.. 실 내용은 별로 없다는게 함정 ^^;

대부분의 내용을 링크로 대체합니다.


http://msdn.microsoft.com/en-us/library/windows/desktop/ms740548%28v=vs.85%29.aspx




지식 :

Windows XP SP2 이상에서는 악의적인 목적으로 사용되는 것을 방지하고자 Raw Socket 에 제한함.

Windows 2000 이상에서는 악의적인 목적으로 사용되는 것을 방지하고자 Administrator 그룹에게만 Raw Socket 을 생성할 수 있도록 제한함.


결론 :

Windows XP SP2 이상에서는 Syn Flooding 공격이 실행 될 수가 없음.



저작자 표시 비영리 변경 금지
신고

'작업공간 > Network' 카테고리의 다른 글

Raw Socket 제한 (Syn Flooding 공격이 수행되지 않는 이유)  (2) 2013.02.21
탐지TEST용 도구  (0) 2012.05.18
CAP 파일 분석 시스템  (7) 2012.04.06
Port Scan  (0) 2012.02.16
Snort 룰 설명  (0) 2012.01.31
패킷에서 파일 추출하기 - 2  (2) 2011.12.29
Posted by Sun2Day

댓글을 달아 주세요

  1. 발할레스 2016.05.12 18:43 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요. 궁금사항이있어서 찾게되었습니다.
    관리자 권한만되는거랑 SYN Flooding Attack 안되는거랑 어떤 상관이있는건가요?

    • Sun2Day 2016.05.23 16:02 신고  댓글주소  수정/삭제

      일반적으로 Syn flooding 을 하는.. 흔히 말하는 좀비PC라고 불리는 것들은 대부분 서버가 아닌 PC들입니다. 고로.. 서버OS가 아니라 syn flooing 이 불가능하다는 이야기 입니다.
      서버 OS의 경우, administrator 그룹에게만 로우소켓을 생성할 수 있는 권한이 있는데 로우소켓 프로그래밍을 해야지만 syn 패킷을 제너레이팅 할 수 있기 때문입니다.


티스토리 툴바